社区首页 >专栏 >能否详细解释一下CSP的具体配置方法？

能否详细解释一下CSP的具体配置方法？

王小婷

发布于 2025-05-25 08:10:53

23500

代码可运行

文章被收录于专栏：编程微刊编程微刊

运行总次数：0

代码可运行

内容安全策略（Content Security Policy，CSP）是一种强大的安全功能，用于防止跨站脚本攻击（XSS）和其他代码注入攻击。通过设置 CSP，开发者可以控制哪些资源可以被加载和执行，从而提高应用的安全性。以下是 CSP 的具体配置方法及示例。

CSP 配置方法

CSP 可以通过 HTTP 响应头或 HTML <meta> 标签进行配置。推荐使用 HTTP 响应头，因为它提供了更强的安全性。

1. 通过 HTTP 响应头设置 CSP

在服务器的响应中添加 Content-Security-Policy 头。以下是一些常用的 CSP 指令：

default-src：默认源，适用于所有未指定源的内容。
script-src：指定可以加载 JavaScript 的源。
style-src：指定可以加载 CSS 的源。
img-src：指定可以加载图像的源。
connect-src：指定可以进行 AJAX 请求的源。
font-src：指定字体的源。
frame-src：指定可以嵌入的框架的源。

示例

Content-Security-Policy: default-src 'self'; script-src 'self' https://apis.google.com; style-src 'self' 'unsafe-inline'; img-src 'self' data:;

在这个例子中：

default-src 'self'：只允许加载来自同一源的内容。
script-src 'self' https://apis.google.com：允许从同一源和 Google API 加载脚本。
style-src 'self' 'unsafe-inline'：允许从同一源加载样式，并允许内联样式（不推荐，可能带来风险）。
img-src 'self' data:：允许加载来自同一源的图像和 data URI。

2. 通过 HTML `<meta>` 标签设置 CSP

可以在 HTML 文档的 <head> 部分使用 <meta> 标签设置 CSP，但这通常不如使用 HTTP 头安全。

<meta http-equiv="Content-Security-Policy" content="default-src 'self'; script-src 'self' https://apis.google.com;">

CSP 指令详解

以下是一些主要 CSP 指令及其说明：

default-src：未指定的资源类型的默认源。
script-src：控制加载 JavaScript 的源。
style-src：控制加载 CSS 的源。
img-src：控制加载图片的源。
connect-src：控制可以进行 AJAX 请求的源。
font-src：控制加载字体的源。
frame-src：控制可以嵌入的框架的源。
object-src：控制加载插件（如 Flash）的源。
media-src：控制加载音频和视频的源。
child-src：控制嵌入的子资源（如 iframe）的源。

其他重要配置

‘self’：代表当前源。
‘none’：禁止加载该类型的资源。
‘unsafe-inline’：允许内联脚本和样式（不推荐）。
‘unsafe-eval’：允许使用 eval() 等方法（不推荐）。

示例 CSP 策略

以下是一个更复杂的 CSP 示例，适用于多种资源类型：

Content-Security-Policy: 
  default-src 'self'; 
  script-src 'self' 'unsafe-inline' https://apis.google.com; 
  style-src 'self' 'unsafe-inline' https://fonts.googleapis.com; 
  img-src 'self' data: https://images.example.com; 
  connect-src 'self' https://api.example.com; 
  font-src 'self' https://fonts.gstatic.com; 
  frame-src 'self' https://www.youtube.com;

测试和调试 CSP

使用报告机制：

可以通过 report-uri 或 report-to 指令设置 CSP 报告 URL，以便收集违反 CSP 的事件。例如：

Content-Security-Policy: default-src 'self'; report-uri /csp-violation-report-endpoint;

使用开发者工具：

现代浏览器通常会在控制台中显示 CSP 违反的错误信息，方便开发者调试。

总结

内容安全策略是一种强大的工具，可以显著提高 Web 应用的安全性。通过合理配置 CSP，可以有效预防 XSS 和其他代码注入攻击。在实施 CSP 时，建议逐步增强策略，监控报告数据，确保网站功能正常的同时，防止潜在的安全风险。

本文参与腾讯云自媒体同步曝光计划，分享自作者个人站点/博客。

原始发表：2025-05-16，如有侵权请联系 cloudcommunity@tencent.com 删除

安全

本文分享自作者个人站点/博客前往查看

如有侵权，请联系 cloudcommunity@tencent.com 删除。

本文参与腾讯云自媒体同步曝光计划，欢迎热爱写作的你一起参与！

登录后参与评论

暂无评论

编辑精选文章

换一批

万字详解高可用架构设计

3175

Go 开发者必备：Protocol Buffers 入门指南

亿级月活的社交 APP，陌陌如何做到 3 分钟定位故障？

1910

60页PPT全解：DeepSeek系列论文技术要点整理

3143

如何优雅的处理CSP问题

网站 java 网络安全

内容安全策略（Content Security Policy下面简称CSP）是一种声明的安全机制，我们可以通过设置CSP来控制浏览器的一些行为，从而达到防止页面被攻击的目的。比如通过禁止内联的JavaScript脚本，来控制页面的脚本注入攻击。

西门呀在吹雪

2021/10/13

8.5K1

Content Security Policy 入门教程

安全漏洞安全 cdn

跨域脚本攻击 XSS 是最常见、危害最大的网页安全漏洞。为了防止它们，要采取很多编程措施，非常麻烦。很多人提出，能不能根本上解决问题，浏览器自动禁止外部注入恶意脚本？这就是"网页安全政策"（Con

ruanyf

2018/04/13

2.1K1

防XSS的利器，什么是内容安全策略(CSP)？

c++http html 内容安全应用安全开发

内容安全策略(CSP)，是一种安全策略，其原理是当浏览器请求某一个网站时，告诉该浏览器申明文件可以执行，什么不可以执行。CSP是专门解决XSS攻击而生的神器。 CSP的引入会使得我们的引入扩展程序更加安全，并且可以由开发者指定可以加载扩展程序的类型，避免恶意的脚本在浏览器中执行，造成信息泄露问题。

房东的狗丶

2023/02/17

2.3K0

CSP(Content Security Policy 内容安全策略)

https 网络安全 http 网站

正式加入生产环境前可以先仅收集一段时间的不匹配规则日志,观察一段时间没有问题再上生产环境。或者仅仅作为监控异常行为来使用也可以！

零式的天空

2022/03/16

2.4K0

CSP

http 网络安全安全

该评论被提交后，会存储在数据库中，当其他用户打开该页面时，该代码会被自动执行，用户就会被攻击到。

不作声

2020/10/15

2K0

为什么你的网页需要 CSP?

javascript http https 网络安全 html

内容安全策略（CSP）是一个 HTTP Header，CSP 通过告诉浏览器一系列规则，严格规定页面中哪些资源允许有哪些来源，不在指定范围内的统统拒绝。

ConardLi

2020/05/07

3.5K1

前端安全配置xss预防针Content-Security-Policy(csp)配置详解

xss web安全

CSP全称Content Security Policy ,可以直接翻译为内容安全策略,说白了,就是为了页面内容安全而制定的一系列防护策略. 通过CSP所约束的的规责指定可信的内容来源（这里的内容可以指脚本、图片、iframe、fton、style等等可能的远程的资源）。通过CSP协定，让WEB处于一个安全的运行环境中。

周陆军博客

2023/05/07

10.6K0

嘿，前端的CSP & CSP如何落地，了解一下？

html nginx

调试工具： Chrome插件——modheader。通过随意设置响应头来测试CSP

lhyt

2022/03/08

3.1K1

【已解决】“Content-Security-Policy”头缺失

policy security self src 连接

简称CSP，意为内容安全策略，通过设置约束指定可信的内容来源，降低异源文件攻击，例如：js/css/image等

陶然同学

2023/10/14

5K0

web安全 - CSP

安全

CSP 全名内容安全策略（Content Security Policy）主要用来防御：XSS CSP 基本思路定义外部内容引用的白名单例如页面中有个按钮，执行的动作源于 http://a.com/x.js，但如果被攻击的话，有可能执行的是 http://b.com/x.js 浏览器可以下载并执行任意js请求，而不论其来源 CSP 的作用就是创建一个可信来源的白名单，使得浏览器只执行来自这些来源的资源，而不是盲目信任所有内容，即使攻击者可以找到漏洞来注入脚本，但是因为来源不包含在白

dys

2018/04/03

1.6K0

如何在vscode 背景配置一个动态小女孩

前端性能监控

马克社区

2022/06/22

4290

VSCode Webview 插件开发的模板的踩坑记录

插件开发协议 webview 打包

目前的策略是把 web 站点打包成一个index.js和 index.css去注入！

CRPER

2024/04/16

4970

CSP——前端安全第一道防线

javascript http https html 网络安全

JS菌

2019/04/10

1.7K0

网络安全 xss 编码技巧漏洞

我们先分析代码，正则表达式过滤了什么，（）`\并且是全局过滤，这样一来，不能使用()就对弹窗很不利，那么我首先想到的办法就是编码，利用编码绕过

盛透侧视攻城狮

2024/10/21

3540

2024全网最全面及最新且最为详细的网络安全技巧七之 XSS漏洞典例分析EXP以及如何防御和修复(1)———— 作者：LJS

Vscode个性化设置：让一个小萌妹陪你敲代码

html https 网站网络安全 ide

直接把上面的代码复制替换掉原来的代码就好，但是为了有一条后路，最好把原来的代码备份下。

Vam的金豆之路

2021/12/01

1.4K0

内容安全策略( CSP )

http https 网络安全安全

内容安全策略 (CSP) 是一个额外的安全层，用于检测并削弱某些特定类型的攻击，包括跨站脚本 (XSS) 和数据注入攻击等。无论是数据盗取、网站内容污染还是散发恶意软件，这些攻击都是主要的手段。

黑伞安全

2020/08/10

3.5K0

CSP总结及CTF实例分析

c++https http 网络安全

本文作者：HeartSky 最近各大比赛中 CSP 绕过的题目突然多了起来，自己也尝试着总结下 What is CSP? > The new Content-Security-Policy HTTP

安恒网络空间安全讲武堂

2018/03/26

2.5K0

「面试常问」靠这几个浏览器安全知识顺利拿到了大厂offer（实践篇）

网站黑客 javascript 安全 html

比如，这个 http://store.company.com/dir/page.html 和下面这些 URL 相比源的结果如下：

用户4456933

2021/06/01

9170

Nginx配置各种响应头防止XSS,点击劫持,frame恶意攻击

nginx

为什么要配置HTTP响应头? 不知道各位有没有被各类XSS攻击、点击劫持 (ClickJacking、 frame 恶意引用等等方式骚扰过，百度联盟被封就有这些攻击的功劳在里面。为此一直都在搜寻相关

iginkgo18

2020/09/27

4.8K0

Spring Security配置内容安全策略

spring 内容安全应用安全开发 https http

在IDEA里集成阿里的https://start.aliyun.com，创建一个Spring Initializr项目：

SmileNicky

2022/05/13

1.8K0